潜在有害应用 (PHA) 可能会给用户、用户数据或设备带来风险。这些应用通常统称为恶意软件。我们为不同类型的 PHA 开发了一系列类别(包括特洛伊木马、钓鱼式攻击和间谍软件应用),并且我们会不断更新和添加新类别。
是否可能有害?
在用“潜在”一词来描述恶意应用时,会存在一些混淆。Google Play 保护机制会移除被标记为可能有害的应用,因为这些应用包含恶意行为,而不是因为我们不确定应用是否有害。这里所说的字词可能是指恶意应用因各种变量而异的运作方式,因此对一款 Android 设备有害的应用可能对另一款 Android 设备构成风险。例如,搭载最新版 Android 的设备不受有害应用的影响,这些应用使用已弃用的 API 执行恶意行为,而仍在运行早期 Android 版本的设备可能会面临风险。移动网络账单欺诈会对连接到服务运营商的设备带来风险,但仅连接到 WLAN 的设备不受这些应用的影响。
如果应用会给部分或所有 Android 设备和用户明确带来风险,就会被标记为 PHA。
用户需要的 PHA
某些可以弱化或停用 Android 安全功能的应用不会归类为 PHA。这些应用可以提供用户想要的功能,例如启用设备的 root 权限和其他开发功能。即使这些应用是潜在有害应用,用户也是有意安装,因此 Google Play 保护机制管理它们的方式不同于其他 PHA。
当用户开始安装被归为“用户需要”类别的应用时,Google Play 保护机制只会向用户警告一次应用的潜在危害。用户可以决定是否继续安装。安装后,用户想要的分类会阻止 Google Play 保护机制发送其他警告,因此不会对用户体验造成影响。
分类
有多种类别的 PHA 可协助 Play 保护机制检测这些类别并确定合适的操作。这些类别包括特洛伊木马、间谍软件和钓鱼式攻击应用等恶意应用,以及用户所需的应用。如果 Play 保护机制检测到 PHA,便会显示警告。对于某些恶意应用,Play 保护机制会自动停用或移除该应用。当 Play 保护机制检测到 PHA 包含多个类别的功能时,会根据最有害的特征对其进行分类。例如,如果应用同时适用于勒索软件和间谍软件类别,则“验证应用”消息会将其识别为勒索软件。
您可以在此处查看当前的 PHA 类别和定义。